通訊

使用 Windows Mobile 6 提高安全性

Matt Fontaine

 

摘要:

  • 裝置安全性
  • Exchange Server 安全性
  • 網路安全性

行動裝置提高全球工作者的生產力,即使他們

不在辦公室,也可以存取公司資訊並保持連線。生產力提高可不是蓋的:因為只要隨時隨地開啟行動裝置就可以開始工作。

但在另一方面,IT 專家們卻要面對維持虛擬辦公室之安全性及穩定性的挑戰。從他們的觀點來看,每一個行動裝置都是一個潛在的網路安全性漏洞,以及資料可能因而遭竊的不利條件。為行動裝置建置一個更安全的部署環境雖然重要,但也必須顧及使用者的體驗,在兩者之間取得平衡。

Microsoft® Windows Mobile® 6 與含有 Messaging and Security Feature Pack (MSFP) 的舊版 Windows Mobile 5.0 均包含許多功能,可幫助您以最容易且對使用者最便利的方式來保護公司基礎結構。使用 Microsoft Exchange Server 做為傳訊平台,即可進一步增加可用的安全性選項。在本文中,我會示範如何使用 Windows Mobile、Exchange Server 以及一些網路安全性最佳作法,做為保護貴公司之行動裝置的基礎。

行動通訊架構

在規劃或升級行動裝置部署環境時,要考量三層因素:裝置、訊息伺服器和網路 (請參閱 [圖 1])。在裝置層級,主要的挑戰包括如何只允許已授權者存取裝置,以及如何防止裝置上出現未經授權的應用程式。Windows Mobile 會透過 PIN 驗證及密碼保護功能、裝置逾時鎖定,以及以本機模式或遠端模式清除或消除裝置記憶體的能力,來防止未經授權者存取裝置 (例如萬一裝置遺失或遭竊)。支援通訊通道和卸除式儲存裝置的資料加密。防止未經授權的應用程式 (例如病毒或間諜軟體) 安裝或存取裝置的重要組件,也是很重要的防護功能。另外還有管理角色定義、應用程式存取層、程式碼簽署設定、安全性設定以及安全性憑證等,共同實現裝置層級的保護。

圖 1 各行動通訊層

圖 1** 各行動通訊層 **

下一個安全層是訊息伺服器,例如含 Service Pack 2 (SP2) 的 Exchange Server 2003 或 Exchange Server 2007。本層同時包括訊息安全性 (訊息在裝置間能夠安全來回傳輸所憑藉的技術),以及訊息伺服器與行動裝置之間透過 Exchange ActiveSync® 的互動。使用 Windows Mobile 裝置並不需要 Exchange Server,但是使用 Exchange 可提供成本、擴充性、效能和管理上的優勢。

理想的裝置層級和訊息伺服器安全性作法是關鍵,但保護網路層也很重要。藉著依據最佳作法並實作強大的安全性通訊協定來設定公司網路,即使有一個或多個行動裝置遭遇安全性問題時,也可以防止網路受損。

裝置安全性原則

對抗安全性破壞的第一道防線,是 Windows Mobile 的裝置本身。Windows Mobile 作業系統提供大量的裝置層級安全防護服務,其中包括:支援驗證、儲存卡加密、虛擬私人網路 (VPN)、Wi-Fi 加密,以及安全通訊端層 (Secure Sockets Layer,SSL) 服務。裝置層級安全性涉及管理誰可以存取裝置及其資料、控制可在裝置上執行的應用程式,以及建立資料在裝置上來回傳輸的方式。一般而言,系統管理員在含有 MSFP 的 Windows Mobile 5.0 及 Windows Mobile 6 上,可以彈性地設定及強制執行各種安全性原則。

使用者存取是透過 PIN 或密碼驗證加以管理。裝置可以設定為在一段閒置時間後或在關閉後自動鎖定,使用者需要將裝置重新解除鎖定才能使用 (請參閱 [圖 2])。使用者存取控制的細節是由安全性原則設定,這可根據系統管理員的安全性角色來加以變更。

圖 2 設定密碼原則

圖 2** 設定密碼原則 **

安全性原則會定義行動裝置的全域安全性層級 (請參閲 [圖 3])。誰可以設定及變更這些安全性原則,將由安全性角色來決定。通常保留給行動操作員的「主管 (Manager)」角色,會有安全性原則設定的完整控制權。Exchange 會使用「Enterprise 角色」來管理 Exchange 系統管理員所設定的某些裝置原則。您也許可以自訂貴公司的安全性原則,這要視您與裝置提供者的合約而定。

Figure 3 行動裝置的安全性原則

原則 行動裝置
阻止未經授權者存取裝置

含有 MSFP 的 Windows Mobile 5.0

指定使用者一定要在裝置上進行驗證,以解除鎖定裝置,或允許使用者在桌上型電腦上輸入 PIN。
預設角色:Manager、Enterprise。

Windows Mobile 6

允許或拒絕使用者變更卸除式儲存媒體之行動加密設定的權限。
預設角色:Manager、Enterprise。
指定當裝置連線時,如果裝置鎖定正在作用中,使用者是否必須在裝置上進行驗證。預設角色:Manager、Enterprise。
可以在萬一裝置遭竊或遺失時保護機密資料

含有 MSFP 的 Windows Mobile 5.0

指定使用者一定要在裝置上進行驗證,以解除鎖定裝置,或允許使用者在桌上型電腦上輸入 PIN。
預設角色:Manager、Enterprise。

含有 MSFP 的 Windows Mobile 5.0 和 Windows Mobile 6

指定是否必須在裝置上設定密碼。設定本機和遠端裝置清除設定。
預設角色:Manager、Enterprise。

Windows Mobile 所使用的可自訂驗證方法是由本機驗證外掛程式 (Local Authentication Plug-In,LAP) 控制,這些外掛程式會與本機驗證子系統 (Local Authentication Subsystem,LASS) 互動。此技術可讓 Exchange Server 在細微層級上控制裝置設定 (例如,強制設定密碼長度和強度需求,或啟用簡易 PIN 驗證)。

Windows Mobile 6 有一組擴充的 LAP 函數,是使用 Exchange Server 2007 所設定。您可以啟用 PIN 模式辨識 (例如,拒絕使用簡單模式如 "1111" 或 "1234"),設定密碼或 PIN 到期日,允許使用者根據特定條件要求 PIN 重設,或保存 PIN/密碼歷程記錄,以防止要求使用者建立新密碼時,使用者重複使用舊的 PIN 或密碼。

保護裝置上的資料

萬一輸入不正確 PIN 或密碼的次數超過系統管理員所設定的限制,本機裝置清除功能就會硬重設 (Hard Reset) 裝置,如此將消除其記憶體 (包括使用者驗證認證在內)。此限制是設定為 Exchange Server 安全性原則的一部分。每兩次不正確輸入之後,裝置便會提示使用者輸入一個結構式索引鍵字串,才能繼續進行 (請參閱 [圖 4])。這可防止裝置因為不小心的隨機按鍵而遭意外清除。使用 Windows Mobile 6 和 Exchange Server 2007 時,也可以從遠端清除儲存卡。

圖 4 強制設定 PIN 和密碼用法

圖 4** 強制設定 PIN 和密碼用法 **

如果有人將充滿公司機密資料的 2GB 儲存卡遺忘在計程車上,則鎖定裝置的做法不太好。還好,您也可以使用 Windows Mobile 6 來處理此問題。它可以將儲存卡資料加密,因此,只有寫至儲存卡的裝置可以讀取它。和 Windows Mobile 6 的其他許多加強安全性功能一樣,Exchange Server 2007 也可以透過網路提供此安全性功能。對於使用者而言,儲存卡的加密過程為透明化。Exchange Server 2007 可讓系統管理員選擇使用者是否可以變更其儲存卡的加密設定。

應用程式是否可以在 Windows Mobile 裝置上執行,會根據三種權限層級而定:特權 (Privileged)、正常 (Normal) 和封鎖 (Blocked)。特權層級的應用程式 (由特權憑證存放區中的憑證簽署) 可以寫入登錄和系統檔案,也可以安裝憑證。和桌上型 PC 或伺服器一樣,可以改變作業系統環境的應用程式越多,該環境遭到破壞的機會就越大。減少具有特權存取權的應用程式數目通常是較好的做法。大部分應用程式只需要在正常層級執行 (由 Unpriv 憑證存放區中之憑證所簽署的應用程式,或使用者同意執行之未簽署的應用程式),它們可以執行但不能存取系統檔案。封鎖層級應用程式是指 -- 因為不正確簽署或使用者動作而遭到封鎖,無法執行。

裝置可以有一層或兩層安全性存取設定。使用一層存取設定時,未簽署的應用程式是以特權存取權來執行,或遭到封鎖而無法執行。如果原則檢查成功,或使用者允許應用程式執行,則兩層存取設定會在正常層級執行未簽署的應用程式。視裝置設定而定,可提示使用者是否執行未簽署的應用程式。

數位憑證 (個人、裝置和應用程式驗證最常使用的其中一種形式) 是裝置、伺服器和網路層級上 Windows Mobile 安全性的重要部分。Windows Mobile 作業系統會在裝置上的不同憑證存放區中儲存數種類型的憑證。在應用程式方面,憑證將決定哪些應用程式可以安裝和執行。若要使應用程式能夠在 Windows Mobile 的裝置上執行而不提示使用者,就必須以憑證簽署該應用程式,證明 Microsoft Mobile2Mobile 程式接受它。應用程式的權限層級,會根據相關聯的憑證來授與。

在網路驗證方面,每一個行動裝置都隨附由憑證授權單位 (CA) 所發出之一些受信任的商業根憑證,如 [圖 5] 所示。訊息伺服器 (例如 Exchange Server) 會在建立與裝置的 SSL 連線之前,先驗證該裝置的根憑證。如果貴公司使用自訂憑證,您可以在所購買且 Windows Mobile 的裝置上安裝它們,否則您可能必須建立新憑證。我會在本文的<網路安全性>一節中進一步加以討論。

圖 5 管理數位憑證

圖 5** 管理數位憑證 **

ActiveSync 和 Internet Explorer® Mobile 可以使用 SSL 來幫助保護裝置與公司 Web 伺服器之間的資料傳輸。不論連線是否存在,要同步處理 Microsoft Exchange 資料、設定裝置或下載應用程式時,都會受到保護。SSL 會以 128 位元 RC4 或 3DES 密碼來加密通訊管道,使組織外的對象無法讀取資料。在透過網際網路存取伺服器時,Windows Mobile 也支援 VPN,它會使用封包加密來提供類似專用線路的安全性。

Exchange Server 安全性

雖然 Windows Mobile 的裝置不需要 Exchange Server 即可運作,但這兩個系統已設計為可密切合作,並且可提供健全的端對端行動傳訊及生產力解決方案。從含有 MSFP 的 Windows Mobile 5.0 版開始,ActiveSync 就已加強為可透過遠端模式管理 Windows Mobile 裝置的設定。其中提供簡單而強大的功能,可以在大部分 Windows Mobile 裝置上傳播並強制執行全域安全性設定。

ActiveSync 會在 IIS 上執行,IIS 是 Microsoft Windows Server 2003 的應用程式/Web 伺服器元件。IIS 提供內建安全性,可幫助保護 ActiveSync 本身避免遭到來自網路的攻擊。由於 Microsoft Office Outlook® Web Access (OWA) 也是以 IIS 為基礎,因此,您可以同時對 ActiveSync 和 OWA 使用相同的安全性憑證。

若使用 ActiveSync 來傳播 Enterprise 原則,下次當裝置與 Exchange Server 進行同步處理時,該原則就會傳遞到裝置上。使用者必須接受這些變更,否則不得連線到伺服器。大部分的網路都需要與各式各樣的裝置互動,包括無法接受複雜安全性原則的舊硬體。必要的話,您可以從安全性原則需求中豁免特定裝置 (例如舊硬體),使它們可以繼續連線。

Exchange Server 2003 SP2 和 Exchange Server 2007 具有稍微不同的安全性原則控制功能。Exchange Server 2003 SP2 可用來指定最小密碼長度 4 到 18 個字元,密碼需要同時有數字和字母,並設定裝置鎖定之前允許的閒置時間長度。這一版的 Exchange Server 也可以指定安全性設定傳遞到裝置的頻率,以及允許前述之舊裝置的豁免。

在 Exchange Server 2007 版本中,ActiveSync 行動裝置管理功能已加強為包含所有 Exchange Server 2003 SP2 的功能以及下列各項:

  • 允許或禁止簡單密碼 (例如 "1234" 或 "1111")
  • 啟用或停用附件下載
  • 需要儲存卡加密
  • 設定附件大小的上限
  • 使用者可透過 OWA 來復原裝置密碼
  • 啟用通用命名慣例 (Universal Naming Convention,UNC) 和 Microsoft Windows SharePoint® Services (WSS) 檔案的存取權

利用 Exchange Server 2007,IT 專家們可彈性地為每一位使用者或裝置量身訂做原則、管理使用者群組的原則,以及從安全性原則中豁免特定使用者。

遠端清除

除了先前詳述的本機裝置清除功能之外,您還可以使用 Exchange Server 2003 SP2、Exchange Server 2007 或 OWA,從遠端清除 Windows Mobile 的裝置。遠端清除會在同步處理時進行,即使您未使用 ActiveSync 安全性原則,也可以執行遠端清除。遠端清除硬重設 (Hard Reset) 作業將無法從裝置上停止。資料、設定和安全性金鑰會以重複的零覆寫,因此並非核心作業系統的資料,將會很難修復。

網路安全性

對行動安全性而言,網路安全性就和裝置及訊息伺服器元件一樣重要。它也是行動基礎結構的一部分,而且明顯受您的控制。即使有一個或多個行動裝置發生安全性的問題,根據最佳作法設定貴公司的網路並實作正確的安全性通訊協定,就有助於防止網路受損。

Windows Mobile 適用於各種網路類型。使用標準網際網路安全性通訊協定及防火牆,您可以設計符合您的效能、穩定性和安全性需求的解決方案。

當訊息伺服器保留在公司網路內時,它們可受到邊緣防火牆保護,此防火牆扮演網際網路與公司伺服器之間的緩衝區。Microsoft Internet Security and Acceleration (ISA) Server 2004 或 ISA Server 2006,兩者都有專門為此用途設計的功能,它們會檢查所有的傳入封包,在傳遞至 Exchange 伺服器之前判斷其身分,然後透過網際網路將輸出資訊傳回到用戶端。

設定 ISA Server 時,您需要啟用 SSL 加密及指定連接埠 443 做為 SSL Web 接聽埠,來接收 Exchange Server 流量。這樣可以將它限制為單一連接埠,使其曝露於網際網路的機率降至最低。而且,在透過 ActiveSync 連線之前,所有用戶端都應該要建立 SSL 連結。

ISA Server 可以預先驗證 Web 應用程式 (如 OWA) 的使用者,幫助防止未驗證的使用者呼叫應用程式伺服器。ISA Server 2006 藉由扮演 Windows Mobile 之裝置的 SSL 終止點,來改進 ISA Server 2004 的 SSL 橋接模型。這樣可讓 Windows Mobile 的裝置不必建立直接連線就可以在 Exchange 伺服器上驗證身分,而不必依賴 ISA Server 2006 來回傳遞流量。而且,由於 ISA Server 2006 的建議位置是周邊網路內,這樣還可以使公用網際網路和 Exchange Server 前端系統之間多一層安全性。

驗證

有兩種基本驗證方式可供選擇:基本和憑證型。基本型是指 Windows Mobile 用戶端與 Exchange 前端伺服器之間,已啟用標準名稱和密碼的 SSL 型連線。它仍然需要憑證,因為在驗證之前,Exchange Server 會在裝置上尋找符合的根憑證。Windows Mobile 和 IIS 可讓您使用與 SSL 相關聯、選擇性眾多的加密法。

憑證型驗證是含有 MSFP 的 Windows Mobile 5.0 與 Windows Mobile 6 都提供的驗證方式,其中會使用傳輸層安全性 (Transport Layer Security,TLS) 而非 SSL 基本驗證。除了根憑證之外,TLS 還需要每一位使用者都具有含公開金鑰和私密金鑰的憑證。因為 TLS 會使用加密金鑰 (最多 2,048 位元) 而非密碼,所以此通訊協定可提供更強大的驗證。

有了 Windows Mobile 6,若要使用 Desktop Enroll 來註冊使用者憑證,就需要將裝置銜接到桌上型電腦上 (桌上型電腦必須位於與憑證註冊伺服器相同的網域中)。使用者會使用密碼、智慧卡或其他方法來驗證註冊,然後將裝置連線到桌上型 PC。接著使用者就可以透過桌上型電腦存取憑證系統,再由桌上型電腦將憑證安裝在行動裝置上。Desktop Enroll 有各種不同的 Windows Mobile 安全性用途,包括憑證的更新,以及 ActiveSync 驗證憑證、SSL/TLS 驗證憑證、802.1x Wi-Fi 憑證或 S/MIME 數位簽章憑證的發佈。

安全性通訊協定 (例如 SSL) 會保護傳輸中的訊息資料,但當訊息資料到達 Windows Mobile 裝置或 Exchange 伺服器之後,並不會將它們加密。S/MIME 是熟悉的 MIME 電子郵件標準的安全形式,它支援數位簽署及 (或) 加密的電子郵件。這比 SSL 傳輸層加密提供多一層保護。

結論

構成安全之基礎結構的解決方案涉及許多層面,每一個層面都值得我們注意。Windows Mobile、Exchange Server 和 Microsoft 網路安全性產品 (如 ISA Server) 可以密切地合作,以減輕行動基礎結構的管理負荷。這有助於減輕 IT 部門的一些壓力,以便將焦點從行動裝置所產生的安全性挑戰,轉移到它們所帶來的生產力優勢。

特別感謝 Kathy Esser、Katharine Holdsworth、Sarah Norton 及 Chip Vollers 對於本文章所提供的協助。

Matt Fontaine 是 BuzzBee Company 的技術文件作家。

© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.